Всеки софтуер има грешки или недостатъци, които причиняват проблеми. Те варират от банални проблеми, които не засягат производителността на софтуера по никакъв основен начин, до сериозни уязвимости в сигурността.
Грешките могат да бъдат трудни за забелязване, поради което много технологични компании имат програми за награди за грешки. Но какво точно представляват програмите за награди за грешки? Как работят и как помагат за подобряване на сигурността на продукта?
Как работят програмите за награди за грешки
Компаниите стартират програми за награди за грешки, за да стимулират хакери с бели шапки за търсене на дупки в сигурността и подобни уязвимости в софтуера. Обикновено има повече от прилична парична награда за тези, които открият грешка, без значение колко незначителна може да изглежда на обикновения човек.
И не само малки, перспективни компании имат програми за награди за грешки. Всъщност повечето технологични гиганти ги управляват, включително Google, Microsoft, Facebook и Apple. Подробности за тези програми обикновено могат да бъдат намерени на официалния уебсайт на компанията. По-често има няколко нива или категории. Но по принцип, колкото по-значителен е един бъг, толкова по-висока е наградата.
След като хакер с бяла шапка открие грешка, той изпраща подробен доклад за разкриване, обясняващ какво е открил. След това инженерите на компанията преглеждат и проучват подаването и ако констатациите на изследователя се окажат точни и полезни, те биват уведомени и получават парична награда.
Тази система работи както за компании, така и за независими изследователи. От гледна точка на всяка компания е по-добре етичен хакер да открие грешка, отколкото заплашващ актьор, който най-вероятно би продължил експлоатирайте го, преди да бъде закърпен, потенциално причинявайки щети за милиони. Хакерите, от друга страна, правят добра част от промяната, участвайки в програми за награди за грешки – някои дори печелят доходи на пълен работен ден, откривайки софтуерни уязвимости.
Примери за програми за награди за грешки, подобряващи сигурността на софтуера
Добре е да знаете как работят програмите за награди за грешки на теория, но нека да разгледаме няколко реални примера на компании, които плащат огромни суми на бели хакери.
В сътрудничество с платформата за награди за грешки Immunefi, децентрализираната блокчейн мостова платформа Wormhole стартира през февруари 2022 г. програма за награди, предлагаща $10 милиона на всеки, който открие критична сигурност буболечка. Съвсем скоро хакер с бяла шапка, използващ псевдонима satya0x, откри такъв. Както Immunefi обясни в a Среден публикация, бъгът можеше да доведе до блокиране на потребителски средства, така че satya0x получи 10 милиона долара за разкриването му.
Също през февруари 2022 г. борсата за криптовалута Coinbase плати $250 000 награда за бъгове на независим изследовател за откриването на основен пропуск в интерфейса за търговия на платформата.
Лаборатории Аврора, компанията зад виртуалната машина Aurora Ethereum (ETH), изплати огромна награда от 6 милиона долара през април 2022 г. Парите бяха присъдени на етичен хакер, известен като pwning.eth, след като той откри уязвимост, която би позволило на участниците в заплахата да изсекат неограничен запас от криптовалутата Ethereum в Aurora двигател.
Канадският гигант за електронна търговия Shopify, междувременно, счупи собствения си рекорд през 2021 г., когато изплащанията му възлизат на 1 милион долара. През тази година компанията получи общо 3000 доклада за грешки от бели хакери по целия свят. В отговор Shopify повиши максималната си награда на 100 000 долара.
Тези цифри може да изглеждат абсурдно високи, но всъщност не са в сравнение с сумата пари и данни, които киберпрестъпниците биха могли да направят иначе, като открият уязвимости. Wormhole определи само награда от 10 милиона долара за бъгове, след като загуби 320 милиона долара поради пробив. Aurora Labs наградиха хакер с бяла шапка, защото $6 милиона бледнеят в сравнение със загубата на $240 милиона на стойност ETH, докато Coinbase и Shopify вероятно са спестили десетки милиони, компенсирайки усърдни изследователи.
5-те най-добри високоплатени програми за награди за грешки
Тъй като компаниите всъщност спестяват много пари, като създават възнаграждаващи програми за награди за грешки, изследователите могат да избират от набор от опции. Ако случайно сте хакер с бяла шапка или искате да станете такъв, ето пет високоплатени програми за награди за грешки, които да разгледате.
Apple Security Bounty е една от най-популярните програми за награди за грешки в света. Наградите варират от $5000 за откриване на уязвимости на заключен екран до $2 милиона за дупки в сигурността, които биха позволили на заплаха да заобиколи Защити в режим на заключване. Всичко, което трябва да направите, за да изпратите доклад за грешка (който трябва да бъде задълбочен и подробен), е да влезете с вашия Apple ID.
Друга популярна програма за награди за грешки се управлява от Microsoft, която предлага широка гама от награди. Подобно на Apple, програмата на Microsoft е разделена на десетки различни категории. Например, ако откриете уязвимост в Microsoft. NET framework, можете да очаквате плащане до $15 000. Но ако откриете такъв в Microsoft Hyper-V, може да получите награда до $250 000.
Програмата за награди на Samsung е съсредоточена около мобилните продукти на компанията. Той има сравнително строги правила, така че не забравяйте да ги прочетете внимателно, преди да изпратите грешка. Също така имайте предвид, че само грешки, които влияят на сигурността на устройствата на Samsung, се вземат под внимание от инженерите на компанията. Наградите варират между $200 и $200 000.
В програмата за награди на Google Bug Hunters наградите достигат до $30 000. Ловците на грешки, както често се наричат хакерите с бели шапки, могат да съобщават за грешки в Gmail, YouTube, BlogSpot и други услуги на Google. Тази програма има много активна общност и собствен онлайн университет, който може да бъде чудесен ресурс за начинаещи изследователи.
Програмата за награди на Meta обхваща Facebook, Instagram, WhatsApp, Messenger и куп други продукти. За да бъдете разгледани за награда (минимумът е $500), трябва да намерите уязвимости, които представляват риск за сигурността или поверителността и да отговаряте на ясно определени изисквания. Всички валидни доклади получават отговор. Ако няколко ловци забележат един и същ проблем, наградата се дава на първия човек, който изпрати доклад.
Програми за награди за грешки: Най-доброто от груповата сигурност
Програмите за награди за грешки представляват най-доброто от краудсорсинг сигурността. И не само технологичните компании и изследователите в киберсигурността се възползват от тях – всички имат, включително потребителите.
За някои ловът на буболечки е хоби, а за други пълноценна кариера. Ако попадате в последната категория или се стремите към нея, има много онлайн курсове, които си струва да разгледате.